Node.js projesi, Windows uygulamaları için önemli riskler oluşturan ve hizmet reddi saldırılarını mümkün kılabilecek iki yüksek şiddetli güvenlik açığını ele almak için birden fazla sürüm satırında kritik güvenlik güncellemeleri yayınladı.
CVE-2025-27210 ve CVE-2025-27209 olarak tanımlanan güvenlik açıkları, 20.x, 22.x ve 24.x sürümleri dahil olmak üzere aktif Node.js salım satırlarını etkiler ve 15 Temmuz 2025’te yayınlanan hemen güvenlik yamalarını yönlendirir.
Kritik Windows Yolu geçiş güvenlik açığı
Güvenlik araştırmacıları, saldırganların yol geçirme koruma mekanizmalarını atlamak için Windows cihaz adlarını kullanabileceğini ve potansiyel olarak sistem kaynaklarına veya hassas dosya konumlarına yetkisiz erişime izin verebileceğini belirlediler.
| CVE kimliği | Başlık | Şiddet | Etkilenen sürümler | Platform | Muhabir |
| CVE-2025-27210 | Windows Cihaz Adları (Con, PRN, AUX) Bypass Path.normality () | Yüksek | 20.x, 22.x, 24.x | Pencere | unutulmazlık |
| CVE-2025-27209 | V8’de Hashdos | Yüksek | 24.x | Tüm | Sharp_edged |
Güvenlik açığı, aktif sürüm satırlarındaki tüm kullanıcıları etkiler, bu da Windows tabanlı Node.js uygulamaları için yaygın bir endişe kaynağı haline gelir.
Sorun güvenlik araştırmacısı OblivionSage tarafından keşfedildi ve daha sonra Rafaelgss tarafından ele alındı ve Node.js güvenlik bakımının işbirlikçi doğasını vurguladı.
Bu güvenlik açığı, eksik güvenlik düzeltmelerinin kalıcı saldırı vektörleri oluşturabileceğini ve kapsamlı güvenlik testi ve doğrulamanın önemini vurgulayabileceğini göstermektedir.
İkinci güvenlik açığı olan CVE-2025-27209, V8 JavaScript motorunun Dize Hashing uygulamasındaki değişiklikler yoluyla bir hashdoS (karma hizmet reddi) güvenlik açığı getirir.
Node.js V24.0.0 Değiştirilmiş Dize Hash Hesaplama RapidHash kullanmak için kullanılır ve yanlışlıkla bir karma çarpışma güvenlik açığını yeniden tanıttı.
Bu uygulama kusuru, hash tohumu hakkında bilgi gerektirmeden çok sayıda karma çarpışması oluşturmak için girdi dizelerini kontrol edebilen saldırganlara izin verir.
Bu tür saldırılar, kullanıcı tarafından kontrol edilen dize verilerinin işlenmesinde uygulamalarda performans bozulmasına ve potansiyel hizmet reddi koşullarına yol açabilir.
Özellikle, V8 geliştirme ekibi bunu bir güvenlik açığı olarak sınıflandırmasa da, Node.js projesi, gerçek dünyadaki dağıtım senaryolarındaki potansiyel etkisini tanıyarak daha muhafazakar bir yaklaşım benimsemiştir.
Güvenlik açığı özellikle Node.js v24.x kullanıcılarını etkiler ve Sharp_edged tarafından Targos tarafından uygulanan düzeltmelerle rapor edilmiştir.
Node.js projesi, bu güvenlik açıklarını ele alan güncellenmiş sürümleri yayınladı: Node.js v20.19.4, v22.17.1 ve v24.4.1.
NODE.JS uygulamalarını, özellikle Windows sistemlerinde veya V24.X sürümlerini kullanan kuruluşlar, bu güvenlik risklerini azaltmak için acil güncellemelere öncelik vermelidir.
Node.js güvenlik ekibi, güvenlik bültenleri sırasında ömür sonu sürümlerinin savunmasız kaldığını ve resmi sürüm programına göre mevcut sürümleri korumanın önemini güçlendirdiğini vurgulamaktadır.
Kullanıcılar, NodeJS-SEC posta listesi aracılığıyla gelecekteki güvenlik güncellemeleri hakkında bilgi sahibi olabilir ve projenin güvenlik politikasında belirtilen yerleşik güvenlik açığı raporlama sürecini izlemelidir.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.